Quelle est la meilleure approche pour identifier et prioriser les risques cyber dans un système d’information ?

[A] Automatiser des tests d’intrusion pour une évaluation en continu

[B] Lancer des scanners de vulnérabilités pour identifier la surface d’attaque

[C] Implémenter une stratégie d’appréciation des risques basée sur une démarche formalisée

[D] Conduire un audit de sécurité pour l’installation de tout nouveau système

reponse linkedin

CBK6 Q13 LINK

Proposition [A] : Bien que les tests d’intrusion soient utiles pour identifier d’éventuelles vulnérabilités présentes dans un système d’information, ils ne permettent ni d’identifier tous les risques, ni de les prioriser en intégrant la probabilité d’occurrence et les impacts financiers, juridiques et réputationnels pour l’entreprise.

Proposition [B] : Tout comme les tests d’intrusion, les scanners de vulnérabilités sont des outils utiles pour détecter des failles de sécurité mais ils ne permettent pas à eux seuls d’identifier et de prioriser les risques cyber d’une entreprise.

Proposition [C] : La meilleure approche pour identifier et prioriser les risques est d’implémenter une stratégie d’appréciation des risques basée sur des méthodes éprouvées (ISO 27005, EBIOS RM, Octave, …). Cette approche permet non seulement d’établir une cartographie des risques, mais également de les prioriser en intégrant la probabilité d’occurrence et les impacts financiers, juridiques et réputationnels pour l’entreprise.

Proposition [D] : Tout comme les tests d’intrusion, l’audit ne peut remplacer une démarche formalisée d’appréciation des risques. Le fait de limiter l’audit aux nouvelles installations est d’autant plus problématique car on fait l’hypothèse que tous les systèmes existants sont exempts de toute vulnérabilité et ne peuvent entrainer aucun risque, ce qui est bien entendu une erreur. Une approche plus pertinente serait d’effectuer des audits réguliers sur tous les systèmes critiques qu’ils soient nouveaux ou anciens.

La bonne réponse est la proposition [C]

tip

Pour en savoir plus sur toutes les techniques d’évaluation de la sécurité (Pentest, exercice red team, bug bounty, audit, scanner,…), nous vous recommandons de suivre le module n°16 de la formation CISSP en distanciel de VERISAFE.

Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE